Neue NuGet-Typosquatting-Kampagne missbraucht MSBuild-Integration von Visual Studio

In der Welt der Softwareentwicklung gibt es eine Vielzahl von Tools und Plattformen, die Entwicklern dabei helfen, ihre Projekte zu erstellen und zu verwalten. Eines dieser Tools ist NuGet, ein Open-Source-Paketmanager und Softwareverteilungssystem für .NET-Bibliotheken. NuGet ermöglicht es Entwicklern, fertige Bibliotheken in ihre Projekte zu integrieren und so den Entwicklungsprozess zu beschleunigen.

Leider gibt es auch böswillige Akteure, die diese Plattformen ausnutzen, um ihre schädliche Software zu verbreiten. In letzter Zeit hat eine neue NuGet-Typosquatting-Kampagne die Aufmerksamkeit von Sicherheitsexperten auf sich gezogen. Diese Kampagne nutzt verschiedene Typosquatting-Pakete, um Malware zu installieren und die MSBuild-Integration von Visual Studio auszunutzen.

Die MSBuild-Integration von NuGet wurde mit der Version 2.5 eingeführt und dient dazu, native Projekte zu unterstützen, den Build- und Testprozess zu automatisieren und benutzerdefinierte Aktionen zu definieren. Wenn ein NuGet-Paket installiert wird, das einen “build”-Ordner enthält, fügt NuGet automatisch ein MSBuild-Element “” zum Projekt hinzu, das auf die .targets- und .props-Dateien in diesem Ordner verweist. Diese Dateien werden dann während des Build-Prozesses verwendet, um Konfigurationen, Eigenschaften oder benutzerdefinierte Aufgaben festzulegen.

Das Neue an dieser Kampagne ist, dass die bösartigen Pakete die MSBuild-Integration nutzen, um Code auszuführen und Malware zu installieren. In der -Eigenschaft. Bei der Ausführung ruft der Code eine ausführbare Datei von einer externen Adresse ab und führt sie in einem neuen Prozess aus.

Dies ist nicht das erste Mal, dass die MSBuild-Integration von NuGet missbraucht wird. Bereits im Jahr 2019 wurde eine ähnliche Technik von einem Sicherheitsforscher demonstriert. Doch dies ist der erste dokumentierte Fall, in dem Bedrohungsakteure diese Funktion in bösartigen NuGet-Paketen nutzen.

Die Analysten von ReversingLabs haben diese neue NuGet-Kampagne am 15. Oktober 2023 entdeckt. Die bösartigen Pakete wurden als Typosquatting-Varianten bekannter Pakete erstellt. Einige der Beispiele sind Wie bewerten Sie den Schreibstil des Artikels?

1 Star2 Stars3 Stars4 Stars5 Stars
  • 31. Oktober 2023